最近啊,收到了不少客户关于信息安全咨询服务方面的项目需求。
比如:新车型要开发啦,开发过程中要如何确保信息安全?做些什么才能满足ISO/SAE 21434的要求呢?
来来,今天咱们就一起小盘一下~
整车开发时,为什么要确保信息安全?
一个趋势
汽车智能化、网联化的趋势,汽车已不再只是机械的代步工具,而是向着智能移动终端发展。车辆集成度和复杂性的增加以及与外部通信的过程,都大大提升了信息安全的隐患和风险,主机厂和零部件厂商不得不加固自身产品安全属性。
一个法规
UN/WP.29即联合国世界车辆法规协调论坛,发布了3项关于智能网联汽车的重要法规:R155/R156/R157—信息安全(Cybersecurity)/软件升级(Software Updates)/自动车道保持系统(ALKS)。其中R155是全球第一个汽车信息安全强制法规,推动了车辆信息安全从过去符合标准的时代正式进入了遵从法规的时代。
它要求1958协议成员国(UNECE 1958年协议的缔约方)包括所有欧盟国家和其他OECD国家,生产的汽车必须通过相关认证。虽然中国并未位列1958协议成员国,但是中国出口欧洲或其他OECD国家的汽车也要拿到该认证。
[注:OECD中文名为经济合作与发展组织)是由38个市场经济国家组成的政府间国际经济组织,于1961年9月30日成立,总部设在巴黎。]
一个标准
2021年8月31日 ISO(国际标准化组织)与SAE International(国际自动机工程师学会 ,原译:美国汽车工程师学会)共同发布了汽车信息安全领域首个国际标准ISO/SAE 21434《Road vehicles—Cybersecurity engineering(道路车辆-信息安全工程(2021))》。提供了在产品、项目和组织层面减少网络安全风险的指导方针。
WP.29 R155合规认证有哪些要求呢?
WP. 29 R155合规认证要求=CSMS认证+VTA认证
CSMS认证CSMS(Cybersecurity management system/网络安全管理体系认证),主要审查车辆制造商是否在车辆完整生命周期的各个阶段均制定了网络安全管理流程,以确保汽车全生命周期中都有对应的流程措施,用以控制相关风险。
VTA认证VTA(Vehicle type approval/车辆型式审批认证)针对OEM的网络安全开发中的具体工作执行情况进行审查,旨在确保车辆的网络安全防护技术能覆盖各生命周期的安全需求,且保证实施的网络安全防护能有效防控特定车型面临的网络安全风险。
换言之,CSMS认证是VTA认证的前提,只有完成CSMS认证及VTA认证才算是满足WP.29 R155。
R155合规认证,可参考ISO/SAE 21434
ISO/SAE 21434:《道路车辆-信息安全工程(2021)》则概述了围绕网络安全管理系统(CSMS)的流程要求。
标准第5章-组织的网络安全管理(Organizational cybersecurity management)规定了组织层面网络安全管理的要求,是组织内部最高层面的安全方针。组织中CSMS的牵头部门应基于本章内容制定组织网络安全管理的总体方针,然后识别和推动各相关责任方建立各自模块(如开发,运维,供应商管理等)的网络安全管理体系。
第6章-项目依托的网络安全管理(Project dependent cybersecurity management)描述了普适性的针对项目网络安全活动的管理原则。包括各项活动的职责分配,制定网络安全活动计划,裁剪原则,以及网络安全案例和网络安全评估、开发后发布的要求。本章的内容可作为开展VTA工作的重要参考。
磐起信科智能网联汽车信息安全咨询服务
咨询服务团队可为您提供基于WP.29法规及ISO/SAE 21434标准,为产业链客户提供汽车安全咨询、风险评估、测试咨询、认证支持等专业服务。
该服务包含:CSMS体系建设及流程认证、TARA分析、信息安全培训、信息安全产品认证及定制化咨询服务。
项目案例
项目名称:CSMS体系建设与ISO/SAE 21434流程认证项目
项目背景:基于ISO/SAE 21434信息安全工作阶段及相关产出物交付及培训,协助客户完成流程搭建,满足评估要求。项目内容:信息安全培训差距分析及CIA制定CSMS合规建设及认证支持
更多项目详情,可发送邮件至biz@panqi.tech了解哦~